plan d'action gdpr luxembourg ageris halian

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP

1Copyright Ageris Group – Reproduction interdite Tél. : +33 (0) 3 87 62 06 00 www.ageris-training.com

Le Règlement européen n°2016/679

du Parlement européen et du Conseil du 27 avril 2016

relatif à la protection des personnes physiques

à l'égard du traitement des données à caractère personnel

et à la libre circulation de ces données

L’impact sur l’organisation et le Plan d’actions

Version 2.02 du 12/12/2016

Animateur : Denis Virole / Directeur des Services / Ageris Group

Extrait du Workshop réalisé au Luxembourg le 13/12/2016 en partenariat avec HALIAN

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Introduction

Le traitement des DCP doit être conduit pour servir l’humanité

Le droit à la protection des DCP n’est pas un droit absoluIl doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité

Le Règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte des droits fondamentaux de l’Union Européenne, consacrés par les traités, en particulier le respect de la vie privée et familiale, du domicile et des communications, la protection des DCP, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, le droit à un recours effectif et accéder à un tribunal impartial, et la diversité culturelle et religieuse

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


1. Prendre en compte les évolutions technologiques

2. Prendre en compte les nouveaux usages des

technologies de l’information

3. Renforcer les droits des citoyens européens

4. Responsabiliser les dirigeants et les sous-

traitants

Internet, Mobilité, … Réseaux sociaux, enfants, profilage, …

Adulte, enfant, … Entreprise, sous-traitant, …

La protection des personnes physiques à l'égard du traitement des DCP est un droit fondamental.

L'article 8, paragraphe 1, de la Charte des droits fondamentaux de l'Union européenne et l'article 16, paragraphe 1, du traité sur le fonctionnementde l'Union européenne disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

5. Les mêmes droits pour tous les citoyens de l’Union Européenne

Introduction : Les enjeux du nouveau règlement

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Champ d’application

Définitions

Principes

Chapitre 1: Champ d’application, définitions et principes

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Chapitre 2: Le renforcement des droits des personnes concernées

1. Le raccourcissement du délai de réponse

concernant les droits : d’accès, de rectification

et de suppression et droit d’opposition

2. Des informations plus détaillées à fournir

pour le RT

7. Le droit pour la personne concernée de ne pas faire l’objet d’une décision fondée sur un traitement automatisé, y

compris le profilage

3. Un renforcement du droit d’accès de la

personne concernée

6. L’instauration de nouveaux droits: le droit

à la limitation du traitement et le droit à la portabilité des données

4. Des modifications terminologiques

concernant le droit de rectification et le droit

d’opposition de la personne concernée

5. Une nouvelle dénomination concernant le droit de suppression:

le droit à l’oubli ou le droit à l’effacement

Les droits de recours

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


La Loi sur la protection des données

Les droits

Art. 26 de la Loi

Le droit d’information de la personne concernée

Art. 30 de la Loi

Le droit d’opposition

Art. 28 de la Loi

Le droit d’accèset

Communication

Art. 28 (4) et 28 (6) de la Loi

Le droit de rectification et de suppression


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Les droits

Droits existantsmais renforcés par le Règlement

Nouveaux droits

Droitd’information

Art. 13 et 14

Droit d’accès

Art. 15

Droit de rectification

Art. 16

Droit à l’effacement

Art. 17

Droit d’opposition

etProfilage

Art. 21 et 22

Droit à la limitation du traitement

Art. 18

Obligation de notification rectification effacement

limitation du T

Art. 19

Droit à la portabilité

Art. 20

Les droits de recours

Droit d'introduire une réclamation auprès d'une

autorité de contrôle

Art. 77

Droit à un recours juridictionnel effectif

contre un responsable du traitement ou un sous-

traitant

Art. 79

Droit à réparation et responsabilité

Art. 82

Droit à un recours juridictionnel effectif

contre une autorité de contrôle

Art. 78

Représentation des personnes concernées

Art. 80

Le Règlement européen


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Lorsque le T = art 6,1 les intérêts

légitimes RT

Prise de décision

automatiséeprofilage ?

L’identité du RT

Durée de Conservation

Chapitre III: Droits de la personne concernée

Section 2: Information et accès aux données à caractère personnel

Article 13: Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée

T = art 6Retirer son

consentement

Introduire une réclamation

Conditionne un contrat ?

Destinataires

Chapitre 2: Le renforcement des droits des personnes concernées2. Des informations plus détaillées à fournir pour le responsable du traitement

L'existence du droit à :• L 'accès aux DCP• La rectification• La imitation du T relatif à la PC• De s'opposer au T• Du droit à la portabilité des DCP Informations

concernant une nlle finalité

Finalités du T

Rectification l'effacement,

limitation T ou non au T

portabilité

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Effacement

T = art 6.1 les intérêts

légitimes RT

Introduire une réclamation

Catégories de DCP

Destinataires

Changement de finalité

L’identité du RT

L'accès aux DCPLa rectificationUne limitation du T relatif à la PCDe s'opposer au TDu droit à la portabilité des DCP

T = art 6.1 / art 9.2

Le droit de retirer le consentement

Finalités du T

Source des DCP

accessibles ou non

au public

Chapitre III: Droits de la personne concernée

Section 2: Information et accès aux données à caractère personnel

Article 14: Informations à fournir lorsque des DCP n’ont pas été collectées auprès de la personne concernée

Chapitre 2: Le renforcement des droits des personnes concernées2. Des informations plus détaillées à fournir pour le responsable du traitement

Durée de Conservation

l'existence d'une décision automatisée, /

profilage

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Réclamation auprès de l’autorité de contrôle

Réparation du préjudice subit

Recours juridictionnel contre une autorité de

contrôle

Droits de recours pour la PC

Recours juridictionnel contre un RT ou un

sous traitant

Action collective

Chapitre 2: Le renforcement des droits des personnes concernées8. Les droits de recours

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations

1. La mise en œuvre de mesures techniques et organisationnelles ainsi

que de politiques appropriées en matière de protection des DCP

par le RT

2. Les responsabilités conjointes des RT

7. L’analyse d’impact relative à la protection

des données

3. Les nouvelles obligations du sous

traitant

6. Notification d’une violation de DCP à

l’autorité de contrôle et communication à la

personne concernée le cas échéant

4. La tenue du registre des activités par le RT

5. Enonciation des différentes mesures

techniques et organisationnelles à

mettre en œuvre

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Protection des DCP

Aide le RT de son obligation de donner suite aux

demandes

Met à la disposition du RT toutes les informations nécessaires pour apporter la preuve du

respect des obligations prévues

La pseudonymisationLa minimisation des données

Pas rendues accessibles à un nombre indéterminé de personnes physiques

Définissent de manière transparente leurs obligations respectives

Régi par un contrat + des garanties suffisantes

Veille à ce que les personnes autorisées à traiter les DCP respectent la

confidentialité

Supprime toutes les DCP ou les renvoie au RT au terme de la prestation

• politiques appropriées en matière de protection • mesures technique et organisationnelle• application d'un code de conduite • certification

Ne recrute pas un autre ST sans l'autorisation écrite préalable + régi par un contrat

Chapitre 3: Le responsable du traitement et le sous-traitant: nouvelles obligations

Notifie la violation de DCP

Sur instruction / prend toutes les mesures requises

peut exercer les droits

Registre

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


1. Désignation du DPO

2. La fonction de DPO

3. Les missions

Chapitre 4: Le délégué à la protection des données

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Coordonnées du DPO

Désigne un DPO

Désigne un DPO

Désigne un DPO

Désigne un DPO

Coordonnées du DPO

Service public

Chapitre 4: Le délégué à la protection des données

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


1. L’élaboration de codes de conduite

2. La mise en place de mécanismes de

certification

Chapitre 5: Chapitre 5: Codes de conduite et certification

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Chapitre 6: Les transferts de données à caractère personnel vers des pays tiers

1. Principe général applicable aux transferts

de DCP hors UE

2. La décision d’adéquation

7. Le renforcement de la coopération entre EM

lors d’un transfert hors UE

3. Le transfert moyennantdes garanties

appropriées: BCR, Clauses contractuelles

Types, Code de conduite, mécanisme de

certification

6. Les obligations du RT lors d’un transfert hors

UE 4. Les BCR

5. Dérogations pour des situations particulières

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Chapitre 7: Les autorités de contrôle

1. Autorité de contrôle et

indépendance

2. Missions de l’autorité de contrôle

3. Les pouvoirs de l’autorité de

contrôle

4. L’autorité chef de file

5. Le renforcement

de la coopération

entre les autorités

6. Un Comité européen de la protection

des DCP

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


IndépendanceLibres de toute influence

Aucune activité professionnelle incompatible


indépendance


indépendance


indépendance

contribue à l'application cohérente du présent règlement dans l'ensemble de l'Union

EM EM

Notifie à la Commission les dispositions légales

Prévoit qu'une ou plusieurs autorités publiques indépendantes sont chargées de surveiller l'application du règlement,

Donne les moyens humains, techniques et financiers

Un contrôle financier qui ne menace pas son indépendance

Chapitre 7: Les autorités de contrôle1. Autorité de contrôle et indépendance

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Chapitre 7: Les autorités de contrôle2. Missions de l’autorité de contrôle

• Conseille, conformément au droit de l'État membre, le parlement national, le gouvernement • Favorise la sensibilisation du Public• Encourage la sensibilisation des RT et des ST • Fournit, sur demande, à toute PC des informations sur l'exercice des droits• Encourage l'élaboration de codes de conduite• Encourage la mise en place de mécanismes de certification ainsi que de labels

• Établit et tient à jour une liste en lien avec l'obligation d'effectuer une analyse d'impact• Tient des registres internes des violations

• Facilite l'introduction des réclamations • Traite les réclamations

• Suit les évolutions • Coopère avec d'autres autorités de contrôle• Contribue aux activités du comité

• Contrôle l'application du règlement• Effectue des enquêtes • Examine périodiquement les certifications délivrées

• Adopte les clauses contractuelles types visées• Approuve les règles d'entreprise contraignantes • Rédige et publie les critères d'agrément• Procède à l'agrément d'un organisme

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Pouvoir d'enquêtePouvoir de faire adopter toutes les

mesures correctricesPouvoir consultatif

Chapitre 7: Les autorités de contrôle3. Les pouvoirs de l’autorité de contrôle

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


1. Le droit d’introduire une réclamation auprès

d’une autorité de contrôle

2. Les droits de recours

3. Les amendes administratives

Chapitre 8: Voies de recours, responsabilité et sanctions

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Règlement européen

1. Amendes administratives pouvant s’élever jusqu’à 10 000 000 euros ou dans le cas d’une entreprise jusqu’à 2% du CAannuel mondial:

• relatives au consentement des enfants en lien avec des services de la société de l’information (art. 8);• en matière de traitement ne nécessitant pas d’identification (art. 11);• en matière de protection des données dès la conception et de protection des données par défaut (art. 25);• des règles propres aux responsables conjoints du traitement (art. 26);• en matière de représentants des responsables qui ne sont pas établis dans l’Union (art. 27);• s’imposant dans la relation entre le responsable et le sous-traitant (art. 28);• en matière de traitement effectué sous l'autorité du responsable du traitement et du sous-traitant (art. 29);• relatives à la tenue du registre de toutes les catégories d’activités de traitement (art. 30);• concernant la coopération avec l’autorité de contrôle (art. 31) ;• relatives à la sécurité des traitements (art. 32) ;• relatives à la notification des violations de données à l’autorité de contrôle (art. 33) ;• relatives à la communication des violations de données aux personnes concernées (art. 34) ;• concernant l’analyse d’impact relative à la protection des DCP (art. 35) et la consultation préalable de l’autorité de

contrôle (art. 36) ;• concernant la désignation du délégué à la protection des données (art. 37), ses fonctions (art. 38), ses missions

(art. 39) ;• en matière de certification (art. 42) et de procédure de certification (art. 43);• des obligations de l’organisme de certification au sens des articles 42 et 43 (b) ;• des obligations de l’organisme chargé de surveiller le respect du code de conduite au sens de l’article 41, § 4 (c).

Les montants des amendes administratives

Chapitre 8: Voies de recours, responsabilité et sanctions3. Les amendes administratives

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Règlement européen

2. Amendes administratives pouvant s’élever jusqu’à 20 000 000 euros ou jusqu’à 4% du CA annuel mondial total :

• les principes de base des traitements, en ce compris les conditions du consentement au sens des articles 5 (Principesrelatifs au traitement des données à caractère personnel), 6 (licéité du traitement), 7 (conditions applicables auconsentement) et 9 (Traitement des catégories particulières de données à caractère personnel) ;

• des droits des personnes concernées au sens des articles 12 à 22 du Règlement ;

• des règles relatives aux transferts de données à un destinataire d’un pays tiers ou d’une organisation (art. 44 à 49) ;

• toutes les obligations mises en place par le droit national conformément au chapitre IX: le chapitre IX laisse aux Étatsmembres une certaine marge d’appréciation en matière notamment de traitements des données à caractère personnel etliberté d'expression et d'information (cfr. art 85) ; traitements d’un numéro d’identification national (art 87) etc.;

• le non-respect d’une injonction de limitation temporaire ou définitive de traitement ou de suspension du flux dedonnées, prononcée par une autorité de contrôle en vertu des articles 58, § 2 ou lorsque le responsable ne permet pasl’accès en violation de l’article 58, § 1er.

Les montants des amendes administratives

Chapitre 8: Voies de recours, responsabilité et sanctions3. Les amendes administratives

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Directive 95/46/CE relative à la protection des personnesphysiques à l’égard du traitement des DCP et à la librecirculation de ces données

Abrogation

Directive 2002/58/CE du 12 juillet 2002 concernant letraitement des données à caractère personnel et laprotection de la vie privée dans le secteur descommunications électroniques (directive vie privée etcommunications électroniques)

Aucune incidence puisque le Règlement n’impose pasd’obligations supplémentaires aux personnes physiquesou morales quant au traitement dans le cadre de lafourniture de services de communications électroniques

Loi sur la protection des données de 2002 La Loi va être très certainement modifiée, certainesdispositions vont être abrogées.

Abrogation, relation avec les autres textes

Evolutions

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Conclusion

Fondamentalement les principes et les obligations que nous connaissons aujourd’hui sont maintenus, le règlement les renforce et en crée de nouveaux

Les principales évolutions sont les suivantes : • Création de nouveaux droits pour les PC

• La responsabilité des RT est renforcée et le RT doit apporter les preuves de mise en conformité

• La responsabilité et les obligations des ST sont renforcées

• La sécurité des DCP devient un principe fondamental de la protection de la vie privée

• De nouveaux concepts sont à appliquer : EIVP / PIA, Sécurité par défaut, Privacy By Design, …

• Les missions du DPO évoluent vers le contrôle

• Les amendes administratives ont considérablement augmenté

• La coopération entre les autorités de contrôle se renforce

• Les autorités de contrôle vont définir des codes de conduite et des certifications / labels

Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est cours.

Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleursdélais : 2017 est une année importante pour la mise en conformité

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le Plan d’actions

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


La démarche :

• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre

• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche

• Doit aborder des aspects « organisationnels » et « techniques »

• Nécessite de formaliser des documents (politiques, procédures, …)

• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers

Le Plan d’actions : La démarche

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le Plan d’actions : 2 objectifs

1 Augmenter la maturité

2 respecter le délai : Mai 2018

MATURITE

6/7

Processus continuellement optimisé, l'amélioration des processus est

dynamique, institutionnalisée et tient compte de l'évolution du contexte

5

Processus coordonné et

contrôlé à l'aide d'indicateurs permettant de

corriger les défauts constatés

4

Processus défini,décrit, adapté à

l'organisme, généralisé et bien

compris par le management et

par les exécutants

3

Pratiques de base mises en œuvre,

avec un engagement relatif de l'organisme vis-

à-vis des PC

2

Pratique de base mises en œuvre de manière informelle

et réactive à l'initiative de ceux

qui estiment en avoir besoin

1

Pratique inexistante ou

incomplète et le besoin n'est pas

reconnu.

TEMPS

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le Plan d’actions : La démarche / Identifier les acteurs

Chef de projet

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le Plan d’actions : La démarche / Identifier les fonctions DPO / CISO

DPO CISO

Information Conseil

RT

Sur les obligations RTL’identification des DCP et T Les droits des PCValidation de l’EIVP

Les enjeuxLes périmètresLa validation des risques résiduels

MOAEvènements redoutésVulnérabilités métiers

MenacesVulnérabilités IT

MOE / STSource de risques Niveau de risques

Sensibilisation formation Tous

Veille RéglementaireRéglementaire hors DCP et technique

ContrôleMOAMOEST

La conformité au Règlement et à la PPDCP

La conformité au Référentiel SSI

Coopère avec l’autorité de contrôle AC : CNPDANSSI pour le Luxembourg fonction publique

Point de Contact Pour l’AC et les PC Pour les ST, voir les MOE et MOA

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.





avec un engagement

relatif de l'organisme vis-à-

vis des PC



compris par le management et par

les exécutants




Processus continuellement optimisé : l'amélioration des processus est


6

LabellisationCertification

5

Code de conduite

4

Contrôle des mesures

juridiques

3

Respect des droits de la PC

+Relations avec l’autorité de Ctl

+Contrats

2

PolitiqueGénérale de

protection de la VP

Noti. Viol DCP

Registre1

SensibilisationDG+

Directions métiers

Le Plan d’actions : Les mesures juridiques

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.

Pratique de base mises en œuvre

de manière informelle et

réactive à l'initiative de

ceux qui estiment en avoir besoin


avec un engagement


vis des PC




par les exécutants






6

Produits certifiés

5

Système de management

4

Ctl des mesures techniques

3

EIVPSecurity by

design +

PAS

2

Politiques de Sécurité SIOrganisationSecurity by defaultSécurité périphérique

1

Sensibilisation

Sécurité en profondeur

Le Plan d’actions : Les mesures organisationnelles et techniques

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.





avec un engagement


vis des PC




les exécutants






6


5

Code de conduite

4


juridiques

3



+Contrats

2


protection de la VP

OrganisationNoti. Viol DCP

Registre1

SensibilisationDG+

Directions métiers

Le Plan d’actions : Les mesures juridiques / Sensibilisation du RT

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Analyses et commentaires d’AGERIS Group

Le montant des sanctions administratives a considérablement augmenté, ce qui démontre la volonté desautorités compétentes de renforcer la protection de la vie privée des citoyens européens et de pousser les organismes àse mettre en conformité avec la législation.

Il est fort probable (en tout les cas il faut le souhaiter) que la médiatisation des actions engagées par une autorité decontrôle et cette augmentation du montant des actions deviennent dissuasives et poussent les responsablesd’organismes à engager les démarches nécessaires de mise en conformité.

Une sensibilisation sur ces risques juridiques, médiatiques, …. est à engager en interne pour pousser àla mise en œuvre de la gouvernance adéquate et renforcer les démarche de mise en conformité.


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Loi de 2002 Application actuelle

Règlement européen Application le 25 mai 2018

Obligations du RT

Prendre toutes précautions utiles au regard de lanature des données et des risques présentés parle traitement, pour préserver la sécurité des DCPet notamment empêcher qu’elles soientdéformées, endommagées ou que des tiers nonautorisés puissent y avoir accès.

• Mise en place de mesures techniques et organisationnelles nécessaires au respect des DCP: « privacy by design », « privacy by default ».

• Véritable «responsabilisation» / principe «d’accountability»: obligation de démontrer la conformité au nouveau Règlement à tout moment.

• Suppression des obligations déclaratives dès lors que pas de risques pour la vie privée.

Obligations du ST

Doit présenter des garanties suffisantes pourassurer la mise en œuvre des mesures desécurité et de confidentialité.

Aucune responsabilité en cas de non-respect decette obligation. Seul le RT est responsable.

• Le ST ne devra pas recruter un autre ST sans l’autorisationécrite préalable, spécifique ou générale du RT;

• La relation entre le RT et le ST devra être régie par un contrat(le Règlement détaille ce que doit contenir le contrat entre leRT et le ST);

• Lorsqu’un ST recrute un autre ST, ce dernier sera soumis auxmêmes obligations que le ST.

Communication de la violation de DCP à

l’autorité de contrôle

Uniquement pour les fournisseurs de services decommunications électroniques accessibles aupublic sur les réseaux publics de communicationdans l’UE.

Notification à l’autorité de contrôle dans les meilleurs délais et sipossible dans les 72 heures au plus tard après en avoir prisconnaissance.

Communication à la PC de la violation des

DCP la concernant

Egalement pour les fournisseurs de services decommunications électroniques.

Communication à la PC (sauf dans certains cas).

EIVPEIVP concernant les traitements de DCPsensibles.Mais aucune spécifications.

Une EIVP devra être effectuée par le RT avec l’aide du DPO dans3 cas :• Evaluation systématique et approfondie d’aspects personnels

concernant des personnes physiques qui est fondée sur un traitement automatisé y compris le profilage,

• Le traitement à grande échelle de catégories particulières de données visées à l’article 9 et 10 (biométrie, santé etc.).

• La surveillance systématique à grande échelle d’une zone accessible au public

Introduction : Plan d’actions / La sensibilisation du RT

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique. Ce contrat ou cet autre acte juridique prévoit, notamment, que le ST :

Agit sur instruction du

RT

Assure la sécurité et la

confidentialité des données

Aide et conseil le RT

Démontre le respect du règlement

Ne traite les DCP que sur instruction documentée du RT

Veille à ce que les personnesautorisées à traiter les DCPs'engagent à respecter laconfidentialité ou soient soumisesà une obligation légale appropriéede confidentialité

Prend toutes les mesuresrequises en vertu de l'article 32(sécurité du traitement)

Aide le RT, par des mesures techniques et organisationnellesappropriées, dans toute la mesure du possible, à s'acquitterde son obligation de donner suite aux demandes

Aide le RT à garantir le respect des obligations prévuesaux articles 32 à 36

Supprime toutes les DCP ou les renvoie au RT au terme dela prestation de services relatifs au T, et détruit les copiesexistantes

Met à la disposition duresponsable du traitementtoutes les informationsnécessaires pour démontrerle respect des obligations etpour permettre la réalisationd'audits et contribuer à cesaudits

L'application d'un code deconduite approuvé ou d'unmécanisme de certificationapprouvé pour démontrerl'existence des garantiessuffisantes


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Devoirs Droits

Respecte le Règlement engage sa responsabilitéDéfinit des règlesInforme les personnels sur:

Les risquesLes règlesLes dispositifs de surveillanceLes éventuels contrôlesLes niveaux de responsabilité individuelle

Met en place les dispositifs de protectionValide les risques résiduelsContractualise avec le ST Répond aux demandes des PCAnalyse / ContrôleInforme l’autorité de contrôle des violations de DCP

Droit de connaitre :• Les règles • Les responsabilités• Les dispositifs de surveillance• Les contrôles Droit d’exercer les droits de la personne concernée

Respecte les lois et les règles Devoir de loyauté Informe le RT des éventuels incidents

Définit des règlesMet en place des dispositifs de surveillanceMet en place des dispositifs de contrôleEngage la responsabilité des utilisateurs Engage la responsabilité du sous traitant

Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.





avec un engagement


vis des PC




les exécutants






6


5

Code de conduite

4


juridiques

3



+Contrats

2


protection de la VP


Registre1

SensibilisationDG+

Directions métiers

Plan d’actions / Politique / Notification violation de DCP / Registre

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


La Politique de protection de la Vie PrivéeObjectifs de la Politique

Domaine d’application de la Politique

• Définitions• Rôles et responsabilités des acteurs impactés dans la protection de la vie privée• Le Responsable des traitements• Sa responsabilité

Protection des données dès la conception et par défaut

Responsables conjoints du traitement

Registre des traitements

Le DPO

• La désignation du DPO• Les missions du DPO• Les fonctions du DPO• Relais DPO• Fin de mission/remplacement du DPO

Les autres acteurs impliqués dans les traitements

• Acteurs Internes• Les Directions métiers et les RDPO• Le RSSI• La Direction des systèmes d’Information• Responsable de la Sécurité des biens et des personnes

Acteurs externes

• Sous-traitants externes• Destinataires et tiers autorisés

Le Plan d’actions : Les mesures juridiques / Politique de protection de la VP

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


La PolitiquePrincipes relatifs aux traitements des données à caractère personnel

• Licéité des traitements• Règles applicables au consentement des personnes• Traitements portant sur des données particulières• Traitement comportant des données sensibles• Traitement comportant des données perçues comme sensibles• Règles complémentaires sur ces types de traitements

Droits des personnes

Transparence des informations et des communications et modalités d’exercice des droits

Présentation générale des droits : d’accès, de rectification, de suppression, de limitation et d’opposition de la personne

concernée

• Cas particulier du droit de rectification de la personne concernée

• Cas particulier du droit à l’oubli ou droit à l’effacement

• Cas particulier du droit à la limitation du traitement

• Obligation de notification en cas de rectification, limitation ou effacement

• Cas particulier du droit à la portabilité des données

• Cas particulier du droit d’opposition

• Profilage ou décision individuelle automatisée

Sécurité des données

Sécurité du traitement

Etude d’Impact sur la Vie Privée


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


La PolitiqueNotification à la Commission de contrôle d’une violation de données

Communication à la personne d’une violation de données à caractère personnel

Code de conduite et certification

• Code de conduite• Labellisation

Culture protection de la vie privée

• Sensibilisation des nouveaux arrivés• Formation• Ateliers

Veille juridique et technologique

Contrôle de conformité et revue de Direction

Contrôle de la Commission de contrôle

• Mesures en cas de manquements

Modifications

Pérennité de la politique de gestion des données à caractère personnel

Communication et mise en œuvre de la politique de gestion des données à caractère personnel

Le Plan d’actions : Les mesures juridiques / Sensibilisation des collaborateurs

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Directives Règles

Registre des T de DCPDéclarer tous les traitements au DPO Mettre à jour le registre des T Rendre accessible le registre des T Vérifier régulièrement le registre des T

Garantie de licéité des T

Agir avec loyauté et transparence lors de la collecte des DCP Démontrer que le consentement des PC est respecté Respecter les finalités déterminées lors de la collecte des DCPLimiter les informations collectées dans les formulaires papiers ou numériques au strict nécessaireLimiter la conservation des données au strict nécessaire

Traitements de DCP sensibles ou perçues

comme sensibles

Respecter le cadre légal relatif au T des DCP sensibles Interdire/ réglementer le traitement des données relatives aux condamnations pénales et aux infractions Limiter l’accès aux DCP aux seuls professionnels habilités Interdire l’usage du NIR comme identifiant unique ?Limiter l’accès et l’usage des données bancaires au strict nécessaireLimiter l’accès aux données sur les difficultés sociales des personnes aux seules personnes habilitéesRéaliser des évaluations d’impact sur la vie privée des PC par les T de DCP sensibles.Limiter l’usage des zones de commentaires a des informations d’ordre général

Respect des droits des PC

S’assurer que les mentions légales sont conformes aux obligationsPermettre aux PC d’exercer leurs droits :• d’accès • de rectification • d’opposition • à l’oubli • à la limitation du T de leurs DCP Notifier aux destinataires les modifications apportées aux DCP suite aux demandes des PC Interdire/Réglementer le profilage ou les décisions individuelles automatisées d’une PC

Sécurité des DCP Appliquer les mesures de sécurité définies dans la Politique de Sécurité des SI (PSSI)

Violation de DCPFormaliser la notification de violation de DCPCommuniquer à la personne concernée la violation de ses DCP

Renforcement de la culture protection de la vie privée

Sensibiliser tous les agents à la culture « protection des DCP » Informatique et Libertés Former les agents sur la mise en œuvre de la politique de protection des DCP

Evolution de la politique

Assurer une veille juridique et technologique sur le domaine informatique et libertésContrôler régulièrement la mise en œuvre des directives de la politique Réviser régulièrement la politique


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Remontée d’incident :• Perte de Confidentialité DCP• Perte d’Intégrité de DCP• Perte de Disponibilité de DCP• …

Le texte européen prévoit une notification à l’autorité decontrôle dans les meilleurs délais et si possible dans les 72heures au plus tard après en avoir pris connaissance.

Cette notification n’est pas ici cantonnée à un acteur enparticulier mais à tous les acteurs dès lors qu’une atteinte auxDCP est intervenue.

• Description de la nature de la violation de DCP,• Communication du nom et coordonnées du DPO,• Description des conséquences probables de la violation,• Description des mesures prises ou celles que le RT

propose de prendre.

Et l’article 34 du Règlement prévoit la communication à la PCdans les meilleurs délais.Cette disposition prévoit trois cas dans lesquels lacommunication n’est pas nécessaire:

• Le RT a mis en place le chiffrement etc.• Le RT a pris des mesures ultérieures garantissant le

respect des droits et libertés afin qu’une nouvelle violationne soit plus susceptible de se matérialiser,

• La communication exigerait des efforts disproportionnés.

Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


disposer d’une organisationpermettant de

détecter et de traiter les

événements susceptibles d’affecter les

libertés et la VP des PC

Définir les rôles et responsabilités ainsi que les procédures de remontées d’informations et de réaction, en cas de violation de DCP.

Établir un annuaire des personnes en charges de gérer les violations de DCP.

Élaborer un plan de réaction en cas de violation de DCP pour chaque risque élevé, le tenir à jour et le tester périodiquement.

Tester le plan au moins une fois tous les deux ans.

Permettre de qualifier les violations de DCP selon leur impact sur les libertés et la vie privée des PC

Tenir à jour un inventaire des violations de DCP.

Consigner le contexte des violations de DCP, leurs effets, les mesures prises pour y remédier…

Étudier la possibilité d’améliorer les mesures de sécurité en fonction des violations de DCP qui ont eu lieu

La notification des PC décrit au minimum la nature de la violation de DCP et les points de contact auprès desquels des informations supplémentaires peuvent être obtenues

La notification faite à l’autorité nationale compétente décrit les conséquences de la violation de DCP, et les mesures proposées ou prises par le fournisseur pour y remédierIl est important d’être en capacité de recueillir, conserver et présenter des preuves lorsqu’une action en justice est engagée suite à un incident

Le Plan d’actions : Les mesures juridiques / La notification de violation de DCP

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le nom et les coordonnées du RT et, le cas échéant, duresponsable conjoint du traitement, du représentant duresponsable du traitement et du DPO

RT: Mr. Thierry RAMARD, 16 rue de Pont-à-Mousson, 57000 Metz.DPO: Justine Bertaud, 16 rue de Pont-à-Mousson, 57000 Metz.

Les finalités du T

Gestion de clientèle, gestion du personnel, dispositif de vidéosurveillanceayant pour finalité la sécurité des biens et des personnes, dispositifbiométrique reposant sur un stockage des gabarits en base mis en œuvrepour contrôler l’accès aux locaux, appareils et applications informatiquesutilisés sur les lieux de travail.

Une description des catégories de PC et des catégories de DCPLes salariés, les clients de l’entreprise etc.Nom, prénom, date de naissance, adresse postale, adresse courriel, relevéd’identité bancaire etc.

Les catégories de destinataires auxquels les DCP personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

Les personnes gérant la sécurité d’accès aux locaux, les personnes gérantle restaurant d’entreprise, les personnes chargées de la gestion dupersonnel (RH par ex.), les instances représentatives du personnel etc.

Les transferts de DCP vers un pays tiers ou à une organisationinternationale, y compris l’identification de ce pays tiers ou decette organisation internationale et, dans le cas des transfertsvisés à l’art. 49, paragraphe 1, deuxième alinéa, les documentsattestant de l’existence de garanties appropriées.

Binding Corporate Rules (BCR), Clause contractuelle type (CCT), paysassurant un niveau de protection suffisant.

Les délais prévus pour l’effacement des différentes catégoriesde données

1 mois pour la vidéosurveillance, le temps de la période d’emploi de lapersonne concernée (après possibilité d’archivage) etc.

Une description générale des mesures de sécurité techniques etorganisationnelles

Contrôle d’accès, habilitation, cloisonner les DCP, réduire les vulnérabilitésdes logiciels, lutte contre les codes malveillants, chiffrer les DCP,anonymiser les DCP, contrôler l’accès physique aux locaux, prévenir lesrisques (incendie, inondation etc.) etc.

Le Plan d’actions : Les mesures juridiques / Le Registre

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.





avec un engagement


vis des PC




les exécutants






6


5

Code de conduite

4


juridiques

3



+Contrats

2


protection de la VP


Registre1

SensibilisationDG+

Directions métiers

Le Plan d’actions : Les mesures juridiques / Le Respect des droits de la PC

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Analyses et commentaires d’AGERIS Group

Le raccourcissement des délais de réponse impose de revoir les procédures internes pour respecter ce délai qui peut paraitre court.

Les modalités de réponse se précisent, il est important d’en tenir compte pour éviter tout litige avec la personne exerçant ses droits.

Concernant les informations complémentaires à fournir au moment de la collecte des DCP, il convient de revoir toutes les mentions légalesdes formulaires papiers et numériques.

Enfin, concernant les informations à fournir aux PC souhaitant y accéder, il convient de revoir les procédures de conservation de toutes lesinformations susceptibles d’être demandées.

La prise en compte de ces éléments dès la phase de conception d’un nouveau projet est nécessaire (voir chapitre relatif au « Privacy ByDesign »)

Règlement européen Application le 25 mai 2018

Délai de réponse aux demandes de droit des PC

1 mois (prolongation de deux mois compte tenu de la complexité et du nombre de demandes)

L’exercice des droits Possibilité d’exercer ses droits par voie électronique (lorsque cela est possible et lorsque le RT les a collectées parce vecteur).

Les mentions d’informations

13 mentions d’informations obligatoires lorsque les DCP ont été collectées directement auprès de la personne; 14lorsqu’elles ont été collectées indirectement.

La réponse à une demande au droit d’accès

9 mentions obligatoires à fournir

Nouveaux droitsLe droit à la portabilité de ses DCPLe droit à la limitation du T.


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


1. La garantie de licéité des traitements

Objectif : S’engager à mettre en œuvre tous les moyens pour garantir la licéité des T en conformité avec les obligations légales en vigueur (art. 5 et 6 du Règlement n°2016/679).


2. T de DCP sensibles ou perçues comme sensibles

Objectif : S’engager à appliquer des procédures et des moyens spécifiques aux T des DCP sensibles ou perçues comme sensible afin de limiter les risques pour les PC et de respecter les obligations légales concernant leurs T .

3. Respect des droits des PC

Objectif : S’engager à informer les PC des droits dont elles disposent légalement et à mettre en œuvre tous les moyens leur permettant de les exercer.


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.





avec un engagement


vis des PC




les exécutants






6


5

Code de conuite

4


juridiques

3



+Contrats

2


protection de la VP


Registre1

SensibilisationDG+

Directions métiers

Le Plan d’actions : Les mesures juridiques / Le Contrôle

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Contrôle de la

Commission

Des DéclarationsDu RegistreDu Bilan


Les actions transverses

• L’organisation de protection de

la VP

• Le comité de suivi, validation

• La politique de protection de la

VP

• Les contrats avec le ST

• La communication de la

politique PDCP aux personnes

qui doivent l’appliquer.

• L’Intégration de la protection de

la VP dans les projets

• La supervision de la protection

de la VP

Sur les éléments

La Minimisation des DCPLa Gestion de la durée de conservation des DCPLe respect des droits de la PC concernéesLe consentement des PC L’exercice du droit d’oppositionL’exercice du droit d’accès directL’exercice du droit de rectification Le Cloisonnement des DCPLe Chiffrement des DCPPseudonynimisation des DCP

Sur les sources de

risques

L’éloignement des sources de risquesLe marquage des documents contenant des DCPLa gestion des personnes qui ont un accès légitimeLe contrôle de l’accès logique des personnesLa gestion des tiers qui ont un accès légitime aux DCPLa lutte contre les codes malveillantsLe contrôle de l’accès physique des personnesLa protection contre les sources de risques non humaines

Sur les supports

La réduction des vulnérabilités :• des logiciels• des matériels• des canaux informatiques• des personnes• des documents papier

Sur les impacts

Sauvegarder les DCPProtéger les archives de DCPContrôler l’intégrité des DCPTracer l’activité sur le SIGérer les violations de DCP

Contrôle des PIA

Du contexte du PIA

Des mesures du PIA

De l’analyse des

risques

Des décisions

Le Plan d’actions : Les mesures juridiques / Le Contrôle

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.





avec un engagement


vis des PC




les exécutants






6


5

Code de conduite

4


juridiques

3



+Contrats

2


protection de la VP


Registre1

SensibilisationDG+

Directions métiers

Le Plan d’actions : Les mesures juridiques / Code de conduite

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Les associations (AFCDP, ADPL etc.) ou des organismes représentant des RT ou ST peuvent élaborer des Codes de conduite

Objectifs:

L’élaboration d’un Code de conduite a pour objectif d’encourager la bonne application du Règlement européen relatif à laprotection des DCP en prenant en compte la spécificité des différents secteurs de T et des besoins spécifiques des micro,petites et moyennes entreprises.

Ce que doit contenir le Code:

le traitement loyal et transparent;

• les intérêts légitimes poursuivis par les RT dans les contextes spécifiques;

• la collecte des DCP; la pseudonymisation des DCP;

• les informations communiquées au public et aux personnes concernées;

• l’exercice des droits des personnes concernées;

• les informations communiquées aux enfants et la protection dont bénéficient les enfants;

• les mesures et les procédures concernant la sécurité du traitement;

• la notification aux autorités de contrôle des violations de DCP; le transfert de DCP vers des pays tiers;

• les procédures extrajudiciaires et autres procédures de règlement des litiges

Une fois que le Code de conduite est approuvé par l’autorité de contrôle, celle-ci l’enregistre et le publie.

La réalisation de Codes de conduite

Le Plan d’actions : Les mesures juridiques / Le Code de conduite

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.





avec un engagement


vis des PC




les exécutants






6

Labellisation Certification

5

Code de conduite

4


juridiques

3



+Contrats

2


protection de la VP


Registre1

SensibilisationDG+

Directions métiers

Le Plan d’actions : Les mesures juridiques / Labellisation Certification

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


L'idée de base est la capacité à s'appuyer sur un tiers pour considérer qu'une partie des ressources du SI (hébergeant des DCP) que l'on met en œuvre répond à des exigences de sécurité à notre convenance;

• Je (ou une instance extérieure) définis des objectifs de sécurité, des moyens de les vérifier et des niveaux d'assurance de l'atteinte de ces objectifs;

• Des composantes sont réalisées avec un objectif de conformité à ces définitions

• Des tiers en lesquels j'ai "confiance" garantissent cette conformité

• Intérêts direct :

• Ne pas avoir à analyser soi-même la façon dont la sécurité est assurée au sein d'une des composantes

• Technique d'interfaçage avec des composants achetés

• Technique d'interfaçage entre partie d'un SI (par exemple entre filiales d'un groupe ou entre partenaires commerciaux)

• Mécanique permettant de coopérer sans avoir à "inspecter" l'autre

• Intérêt indirect :

• Formalisme utilisable éventuellement de façon privée

• Écueils :

• Nécessité de formaliser les règles

• Nécessité de mettre en place des diapositifs récurrents d’audit et contrôles

Le Plan d’actions : Les mesures juridiques / La Certification

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Exigences relatives à la politique de protection des DCP

Exigences relatives au DPO

Exigences relatives à l’analyse de la conformité

Exigences relatives au contrôle de la conformité

dans le tempsExigences relatives à la

gestion des réclamations et à l’exercice du droit des

PC

Exigences relatives à la journalisation des

évènements de sécurité

Exigences relatives à la gestion des violations de

DCP

Exigences relatives à la formation

Le Plan d’actions : Les mesures juridiques / La Labellisation / Certification

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Devenir organisme de certification

Comment ?

Il faut obtenir un agrément de la part de l’autorité de contrôle de son Etat ou par un organisme national d’accréditationdésigné.

Pour cela, il faut prouver que les tâches et les missions n’entrainent pas de conflits d’intérêts;Prouver son expertise en matière de protection des DCP;Le respect de certains critères,La mise en place de procédures en vue de la délivrance, de l’examen périodique et du retrait d’une certification, de labelset de marques pour traiter les violations de la certification ou la manière dont la certification a été appliquée par un RT ouun ST.

Quels pouvoirs ?

Délivrer ou retirer une certification initialement délivrée à une entreprise.

Les organismes de certification doivent communiquer à l’autorité de contrôle les raisons de la délivrance ou du retrait dela certification à l’entreprise

Durée 5 ans

Comment devenir organisme de certification ?

Le Plan d’actions : Les mesures juridiques / La Certification

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.






avec un engagement


vis des PC




par les exécutants






6

Produits certifiés

5


4


3

EIVPSecurity by

design +

PAS

2


1

Sensibilisation


Le Plan d’actions : Les mesures organisationnelles et techniques

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


1. Participer à la sensibilisation du personnel

8.La manipulation des outils supportant

des DCP

2.Identifier les TEvaluer la sensibilité

des DCP au DPOExprimer les

évènements redoutésParticiper au PIA

7.La manipulation des DCP, documents

3.Habilitation et choix des personnes

affectées aux taches sensibles sur les T de

DCP

6. Comportements généraux à

l’intérieur et à l’extérieur des établissements

4.Identification et gestion des personnels

stratégiques traitant les DCP

5. Management de la conformité et

sécurité lors de sous-traitance

9.Contrôle

Le Plan d’actions : Les mesures organisationnelles et techniques / La sensibilisation

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.






avec un engagement


vis des PC




par les exécutants






6

Produits certifiés

5


4


3

EIVPSecurity by

design +

PAS

2


1

Sensibilisation


Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le renforcement de la sécurité

La mise en œuvre de politiques :

• Les règles fonctionnelles et organisationnelles structurant la protection des DCP

• L’engagement de la direction et les responsabilités métiers,, DSI, SSI

• Les enjeux, responsabilités et missions de la SSI / PDCP

Plans de SécuritéGuides et manuelsChartes utilisateurs

Procédures

• La mise en œuvre architecturale des règles fonctionnelles et la définition des procédures , consignes et règles de sécurité opérationnelles et de management

Politique de Sécurité Système d’Information

Charte éthique pour la sécurité de l’information et la protection de la VP

Politique générale de sécurité de l’information Protection des DCP

Directives protection des DCP

Le Plan d’actions : Les mesures organisationnelles et techniques / Politique de sécurité

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Article 27 Représentants des RT des ST qui ne sont pas établis dans l'UnionLorsque l'article 3, paragraphe 2, s'applique, le RT ou le ST désigne par écrit un représentant dans l'Union.

Le représentant est établi dans un des États membres dans lesquels se trouvent les personnes physiques dont les DCP font l'objet d'un T lié àl'offre de biens ou de services, ou dont le comportement fait l'objet d'un suivi.

Le représentant est mandaté par le RT ou le ST pour être la personne à qui, notamment, les autorités de contrôle et les PC doivent s'adresser,en plus ou à la place du RT ou du ST, pour toutes les questions relatives au traitement, aux fins d'assurer le respect du présent règlement.

5La désignation d'un représentant par le RT ou le ST est sans préjudice d'actions en justice qui pourraient être intentées contre le RT ou le ST .

Le Plan d’actions : Les mesures organisationnelles et techniques : le Représentant

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Informer Conseillerle RT / ST

dans la MEOdes T

Registre ?

Contrôler le respect

Conseil pour l’EIVP

Pont de contact

Coopère avec l’AC

Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


L’organisationVoie

HiérarchiqueVoie

Fonctionnelle

Protection des DCP

Voie Fonctionnelle

SSI

Comité de pilotage et suivi PDCP

Managers

Relais

Direction Générale

Le Plan d’actions : Les mesures organisationnelles et techniques : le DPO

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


• Dès que l’on sort de l’étape « best practices auto justifiées-sécurité informatique / by default » sous responsabilité des maîtrises d’œuvre (et que l’on cherche l’adhésion des métiers,) les besoins de sécurité classifiés doivent être à l’origine de la formalisation des exigences de sécurité adaptées, (règles, obligations et interdits).

• Or ces exigences de sécurité (règles, obligations et interdits) sont susceptibles d’être ressentis comme des contraintes allant à l’encontre d’objectifs de productivité du métier

• Certaines interdictions ou obligations techniques ou comportementales brident les services que veulent mettre en œuvre certaines directions de projet

• La prise en compte native de la sécurité dans les projets est identifiée comme un facteur potentiel de ralentissement

• Dans tous les cas il y a plusieurs divergences d’analyse potentielles :

• Entre la maitrise d’ouvrage et le DPO• Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre • Entre la maîtrise d’ouvrage , la maîtrise d’œuvre d’une part et la SSI d’autre part• Entre la maîtrise d’œuvre et la SSI• Entre le DPO et le RSSI

L’arbitre ne pourra se prononcer avec raison que si les mesures « divergence « peuvent être adossées à des besoins, des enjeux ou a MINIMA À DES RISQUES

Besoin d’arbitrage Arbitre

Entre la maîtrise d’ouvrage en charge du projet et la maîtrise d’œuvre Direction / Comité de pilotage /

Entre la MOA, la Maitrise d’œuvre d’une part et la SSI / DPO d’autre partDirection / Comité de pilotage

Entre SSI et DSIDirection / Comité de pilotage

Validation / Homologation RT

Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Contexte

Evènements redoutés

Menaces

Risques

Mesures

Un « risque accepté » est caractérisé par la conjonction des 3 éléments suivants :

1. connaissance de l’existence d’un risque associé à une défaillance de sécurité par les décideurs métiers;

2. mesure du risque par les intervenants autorisés, en fonction d’un référentiel (critères, calcul et seuils d’impact, etc.) opposable ;

3. arbitrage et autorisation d’assumer les conséquences du risque, en tenant compte des mesures de réduction, selon les principes de délégation en vigueur.

L’instance de décision locale désignée par le RT doit réunir toutes les parties prenantes (un représentant de la direction, les représentants Métier ou leur maîtrise

d’ouvrage, les dépositaires des ressources, les tiers subissant des impacts collatéraux…) afin d’évaluer le risque dans son ensemble.

Risques Résiduels

Validation ?

Le Plan d’actions : Les mesures organisationnelles et techniques / Le Comité de validation

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


• La pseudonymisation et le chiffrement des données à caractère personnel;

• des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des

systèmes et des services de traitement;

• des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des

délais appropriés en cas d'incident physique ou technique;

• une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et

organisationnelles pour assurer la sécurité du traitement.

Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Objectif : faire perdre le caractère identifiant des données à caractère personnel (DCP).

Une « véritable » anonymisation implique nécessairement une perte (irréversible) d’information. Dans certains cas, le simple fait d’effacer ou de noircir une partie des données peut suffire à atteindre l’objectif souhaité.

La « pseudonymisation » peut être définie comme le remplacement d'un nom par un pseudonyme. C’est le processus par lequel les DCP perdent leur caractère identifiant (de manière directe).

Les DCP restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée. Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou irréversible).

Recommandations : supprimer une partie suffisante des DCP Si ce n’est pas possible, déterminer les solutions qui satisfont le mieux possible les besoins fonctionnels.

Recommandations : s’il est nécessaire que des personnes habilitées puissent vérifier que des données pseudonymisées correspondent à des données originales qu’ils ont en leur possession, pratiquer une double pseudonymisation avec deux clés secrètes détenues par deux organismes différents ;

Utiliser uniquement des DCP pseudonymisées ou des données fictives pour les phases de développement et de test.

Dans certains cas, il est conseillé d’appliquer une double pseudonymisation : c’est l’application d’une seconde fonction de pseudonymisation sur la donnée pseudonymisée au moyen de la première fonction de pseudonymisation .Ces deux fonctions doivent utiliser des secrets différents qui sont détenus par des organismes distincts.

Le Plan d’actions : Les mesures organisationnelles et techniques / Security by default /

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


WEBpublic

DMZ

DMZ

DMZ

ApplicatifMétier

stratégique

Poste de travailComposant d’intendance(administration et sécurité)

Deuxième niveaude Firewall

Premier niveaude Firewall

Le risque est donc dese perméabiliser :

. De l’intérieur,si les sas applicatif ne

sontpas à jour,

si les postes de travail ne sont pas à jour et ne

respectent pas les règlesd’implémentation,

si les administrateurs etutilisateurs ne respectent

pas ces règles.

. De l’extérieur,si les Firewall ne sont

pas à jour.

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by default / la sécurité périphérique

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.






avec un engagement


vis des PC




par les exécutants






6

Produits certifiés

5


4


3

EIVPSecurity by

design +

PAS

2

Politiques de Sécurité SISecurity by default

Sécurité périphérique

1

Sensibilisation


Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Etapes de la méthodeMaîtrise

d’OuvrageMaîtrise d’Œuvre

1.1. Description générale

Approuve

Consultée

Informée

Réalise

Informé1.2. Description détaillée

2.1. Mesures de nature juridique

2.2. Mesures traitant les risques Consulté

3.2. Événements redoutés

Réalise3.3. Menaces

Consultée

3.4. Risques

4.1. Évaluation RéaliseInformé

4.2 Objectifs Consultée

4.3 Plan d’actions Réalise Consulté

4.4 Validation formelle Réalise Informées Consulté Informé

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Accès illégitime aux DCP

Impacts corporels

Impacts matériels

Impacts moraux

Modification non désirée des DCP

Impacts corporels

Impacts matériels

Impacts moraux

Disparition des DCP

Impacts corporels

Impacts matériels

Impacts moraux

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Etude d’impact

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Menaces

Sources humaines

internes

agissant accidentellement

agissant de manière délibérée

Sources humaines

externes

agissant accidentellement

agissant de manière délibérée

Sources non humaines

internes

externes

Vraisemblance

Vraisemblance

Vraisemblance

Événements redoutés


Modification non désirée des DCP

Disparition des DCP

Vulnérabilités

Matériels

Logiciels

Canaux informatiques

Personnes

Documents papier

Canaux papier

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation de la vraisemblance

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Gra

vité

4. Maximal

3. Important

2. Limitée

1. Négligeable

Cartographie des risques

1. Négligeable 2. Limitée 3. Important 4. Maximal

Vraisemblance


Un schéma tel que ci-dessous peut être utilisé pour présenter la cartographie des risques


Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / Evaluation du n) du risque

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


4. Décision

4.1 Evaluation

Non Oui

4.2 Objectifs 4.3 Plan d’actions

4.4 Validation

Fin d’Etude d’impact sur la vie privée

Décision : la validation de l’étude d’impact sur la vie privéeL’Objectif est de décider d’accepter ou non la manière dont l’étude a été gérée et les risques résiduels.

Source : – CNIL http://www.cnil.fr

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la validation

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Appliquer les principes de défense en profondeur à l’architecture matérielle et logicielle des centres informatiques.

La sécurisation d’une architecture doit être assurée mais de façon distribuée, tout au long de la chaîne de liaison, en prenant en compte l’ensemble des composants de l’architecture (réseau, système, applicatif)

Le principe de défense en profondeur doit être respecté, en particulier par la mise en œuvre successive de « zones démilitarisées » (DMZ), d’environnements de sécurité en zone d’hébergement, de machines virtuelles ou physiques dédiées, de réseaux locaux virtuels (VLAN) appropriés, d’un filtrage strict des flux applicatifs et d’administration.

Les premiers niveaux de défense protègent les ressources de niveaux inférieurs contre les attaques à large spectreLes niveaux inférieurs assurent la protection contre les attaques ciblées sur un objectif précis

Le Plan d’actions : Les mesures organisationnelles et techniques / EIVP /Security by design / la sécurité en profondeur

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Le Plan d’Assurance Sécurité est un document contractuel décrivant l’ensemble des dispositions spécifiques mises en œuvre pour garantir le respect des exigences de sécurité du

donneur d’ordre, le RT .

Il doit être annexé au contrat

Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


N° d’exigences

N°Maturité

Localisation

DCP

SantéNon

sensibles

Certifiéou

Agrée

Non CertifiéAgréé

Non CertifiéAgréé

CertifiéNon

certifiéNon

certifié

Territoire national

Territoire national

Interdit parla France

Territoire national

Territoire national

En dehorsde l’UE

PAS++++

PAS+++++

PAS ++++++

PAS+

PAS++

PAS+++

Le Plan d’actions : Les mesures organisationnelles et techniques / le PAS

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.






avec un engagement


vis des PC




par les exécutants






6

Produits certifiés

5


4


3

EIVPSecurity by

design +

PAS

2



1

Sensibilisation


Le Plan d’actions : Les mesures organisationnelles et techniques / Contrôle des mesures techniques

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP



Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.






avec un engagement


vis des PC




par les exécutants






6

Produits certifiés

5


4


3

EIVPSecurity by

design +

PAS

2



1

Sensibilisation


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Pourquoi mettre en œuvre un Système de Management de Sécurité des DCP ?

Pour protéger, dans la durée, les DCP et les systèmes d’information qui les hébergent

Pour renforcer la confiance (vis-à-vis PC /des clients / usagers et des fournisseurs ou en interne).

Pour améliorer les processus et l’organisation interne en matière de protection de DCP

Un SMSI – Système de Management de la Sécurité de l’Information est un ensemble d’éléments interactifs permettant à unorganisme d’établir une politique et des objectifs en matière de sécurité de l’information, d’appliquer la politique, d’atteindre cesobjectifs et de contrôler l’atteinte de ces objectifs.

Le SMSI est établi, documenté, mis en œuvre et entretenu. Son efficacité est mesurée par rapport aux objectifs de l’entité, et cettemesure permet d’améliorer en permanence le SMSI.

Le SMSI est cohérent avec les autres systèmes de management de l’entité, notamment avec les systèmes de management de laqualité, de la sécurité des conditions de travail, et de l’environnement.

L’existence d’un SMSI dans l’organisme permet de renforcer la confiance dans le mode de gestion de la sécurité del’information »


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


Situation effective



reconnu.






avec un engagement


vis des PC




par les exécutants






6

Produits certifiés

5


4


3

EIVPSecurity by

design +

PAS

2



1

Sensibilisation


Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


La certification permet d’attester par une tierce partie indépendante et impartiale qu’un produit atteint, à un instant donné, un niveau de sécurité représenté par les services de sécurité qu’il offre et sa résistance à un niveau d’attaques donné : en France, quel que soit le type d’évaluation, la certification s’appuie systématiquement, outre des vérifications de conformité, sur des tests d’intrusion pour déterminer le niveau de sécurité réellement atteint par le produit.

La certification permet de répondre principalement à trois types d’objectifs.

1. Il peut s’agir d’objectifs règlementaires, tels que l’application de Règlements ou de directives européennes ou

nationales.

2. L’objectif peut être aussi contractuel, au travers de donneurs d’ordres publics ou privés qui exigent contractuellement

la certification de produits avant leur usage.

3. Enfin des entreprises peuvent souhaiter se démarquer en certifiant leurs produits (objectif commercial).

Le Plan d’actions : Les mesures organisationnelles et techniques / les produits certifiés

Règl

emen

t eur

opée

n po

ur la

pro

tect

ion

des

pers

onne

s ph

ysiq

ues

à l'é

gard

du

trai

tem

ent d

es D

CP


La mise en conformité au règlement européen est imposé dans un délai court fin mai 2018) :il convient de démarrer dans les meilleurs délais la démarche de mise en conformité

La démarche :

• Doit être adaptée au niveau de maturité de l’organisme : une approche progressive par palier doit être mise en oeuvre

• Doit impliquer la direction générale de l’organisme pour qu’elle impose la démarche

• Doit aborder des aspects « juridiques » et « techniques »

• Nécessite de formaliser des documents (politiques, procédures, …) puis de les mettre en apllication

• Nécessite de désigner un chef de projet pour mener à bien tous les chantiers

Le délai de mise en conformité est fixé à fin mai 2018 : ce délai est court.

Il convient de mettre en œuvre un plan d’actions permettant d’atteindre cet objectif dans les meilleurs délais : 2017 est une année importante pour la mise en conformité

Plan d’actions : Conclusion

plan d'action gdpr luxembourg ageris halian

Technology